近期,TheBestVPN 依据「美国国家规范技术性研究所国家漏洞数据库查询」发布的官方数据,梳理出了一份包括目前市面上普遍系统软件或产品的「漏洞报警」。主要包括了以往二十年里漏洞较多的系统软件/产品。
微软公司、IBM 等知名科技公司发布的产品中被看到的漏洞总数大量,在其中微软公司开发设计的产品在过去的 20 年(1999-2019)里一共被发觉了 6814 个漏洞,位居第一,前五名的详细排行榜如下所示:
- Microsoft — 6814个漏洞
- Oracle — 6115个漏洞
- IBM — 4679个漏洞
- Google — 4572个漏洞
- iPhone — 4512个漏洞
但过去的一年里,由 Google 开发设计的 Android 系统软件一共被公布了 414 个漏洞,是 2019 年漏洞较多的系统软件。依据该汇报,Android 系统软件在 2016 年和 2017 年也各自有 525 个和 843 个漏洞被发觉,这使其一样变成了是这2年漏洞较多的系统软件。
应对那样的結果,Google 新闻发言人在回复外国媒体时却发布了不一样的观点:「大家专注于提升清晰度,并每月公布有关 Android 系统优化问题的信息安全公示,以加强全部生态体系的安全系数。大家不同意这种见解,将要已处理的安全隐患总数视作考量系统软件安全的根据。这其实是 Android 生态体系按预估开放式运作的結果。」
做为一款开源系统的系统软件,Android 被免费开放给了第三方生产商应用,这也就代表着 Google 失去融洽手机软件和硬件设备的工作能力,結果便是第三方生产商不标准实际操作或是第三方硬件配置造成的安全性漏洞也愈来愈多。终究有别于 iOS 的封闭型,Android 开源系统的特点代表着它必须对大量的处理芯片和硬件配置「更为友善」,而来源于手机上上下游生产商的硬件配置缺点也很有可能传播到应用 Android 系统软件的设施上。
2022年三月份Google就以前修补了一个存有于 CPU 固定件中的安全性漏洞侧门,该漏洞促使木马程序根据简易脚本制作就可得到应用MTK 64 位处理芯片的 Android 机器设备访问限制,因而会直接影响到数百种智能机、平板和智能机顶盒。
无巧不成书,2016 年被曝出的出现于高通芯片 GPU 推动中的「QuadRooter 漏洞」一样是来源于手机上上下游生产商的安全隐患,并且因为高通芯片的市场份额更高一些,因此这一漏洞在那时候危害了全世界约 9 亿台 Android 机器设备。
「QuadRooter 漏洞」中的在其中一个乃至还容许网络攻击将恶意程序掩藏在照片的 Exif 数据信息中,当受害人的机器设备打开了这张图片时便会开展进攻。这类低互动、低运用难度系数、低认知的特点也促使该漏洞变成当初比较严重水平最大的漏洞之一。
除此之外,第三方 OEM 生产商针对 Android 系统软件的不标准开发设计也是引起安全性漏洞的因素之一。为了更好地在市場上建立多元化,很多 Android 机器设备厂家都是会系统对开展订制化,例如中国的 MIUI、EMUI、ColorOS 等,在其中一些生产商乃至会为了更好地一些独家代理作用对 Android 核心编码实现改动,而在编码增加的全过程中也在所难免提升全部系统优化风险性。
2015 年,Google的安全防护员工在科学研究 OEM 生产商在 Android 中增加的编码的安全系数时,便看到了三星 Galaxy S6 Edge 中存有好几处漏洞,网络攻击可以依靠这种漏洞制做具备系统软件权利的文档,盗取客户电子邮箱,并在核心中实行编码,与此同时提升权利和非特权运用。
实际上,这类因为 OEM 手机制造商擅自改动编码而导致的安全性漏洞在 Android 手机制造商中十分广泛。而Google为了更好地避免这种现象的产生,乃至在2022年二月份向一部分 OEM 生产商公布警示。Google Project Zero 研究者表明,以三星为象征的好几家智能机生产商根据加上中下游自定推动的方法,立即硬件配置浏览 Android 核心的作法会引起大量的漏洞,进而造成现有于 Linux 核心的多种安全性作用无效。
Android 开源系统的特点使它一举超过别的 OS,变成市场份额最大的手机操作系统。但在体验这些收益的与此同时,开源系统的「不良反应」也在烦恼着 Google,其泛娱乐化和安全系数的问题也愈来愈引起关心。但做为顾客的大家,除开维持可靠的用机习惯性并确保系统的立即升级之外,仿佛也做不来哪些。